In questa settimana, il CERT-AGID ha riscontrato ed analizzato, nello scenario italiano di suo riferimento un totale di 41 campagne malevole, di cui 26 con obiettivi italiani e 15 generiche che hanno comunque interessato l’Italia, mettendo a disposizione dei suoi enti accreditati i relativi 255 indicatori di compromissione (IoC) individuati.

Riportiamo a seguire il dettaglio delle tipologie illustrate nei grafici, risultanti dai dati estratti dalle piattaforme del CERT-AGID e consultabili tramite la pagina delle Statistiche.

Andamento della settimana

I temi più rilevanti della settimana

Sono 20 i temi sfruttati questa settimana per veicolare le campagne malevole sul territorio italiano. In particolare si rileva:

1. Rinnovo – Argomento utilizzato nelle campagne italiane di phishing rivolte a utenti Aruba.
2. Ordine – Tema sfruttato in molte campagne, sia italiane che generiche, che veicolano i malware VIP Keylogger, Snake Keylogger, AgentTesla e Remcos.
3. Avvisi di sicurezza – Argomento utilizzato una campagna generica di phishing ai danni di AVG e di due campagne di phishing italiane che sfruttano i brand Zimbra e Aruba.
4. Documenti – Tema utilizzato per una campagna di phishing generica ai danni di utenti Microsoft e per una italiana che simula una comunicazione di una Webmail. Inoltre, l’argomento è servito per una campagna italiana di phishing ai danni di utenti Telegram.

Il resto dei temi sono stati utilizzati per veicolare campagne di malware e di phishing di vario tipo.

Eventi di particolare interesse:

• Nuova ondata italiana di malspam PEC finalizzata alla diffusione del malware Vidar tramite link al download di VBS. I dettagli nella news del CERT-AGID. Le azioni di contrasto sono state intraprese dal CERT-AGID con il supporto dei gestori PEC.
• Identificata una campagna di phishing ai danni dell’Università di Pisa finalizzata al furto delle credenziali di accesso. La pagina fraudolenta, che presenta il logo dell’ateneo, è ospitata su un dominio Weebly. Gli IoC associati sono stati diramati alle PA accreditate ed è stato richiesto il takedown del sito malevolo.
• Individuata una campagna di phishing italiana veicolata tramite chat Telegram. Le vittime ricevono messaggi che invitano a cliccare su un link con l’obiettivo di impossessarsi della sessione Telegram. Ulteriori dettagli sul canale Telegram del CERT-AGID.

Malware della settimana

Sono state individuate, nell’arco della settimana, 8 famiglie di malware che hanno interessato l’Italia. Nello specifico, di particolare rilievo, troviamo le seguenti campagne:

1. AgentTesla – Rilevate diverse campagna generiche a tema “Ordine” e “Preventivo”, diffuse mediante email con allegati ZIP e TAR.
2. FormBook – Individuata una campagna italiana a tema “Contratti”, diffusa tramite email con allegati IMG.
3. Vidar – Rilevata una campagna italiana a tema “Pagamenti”, veicolata mediante PEC con link al download di VBS.
4. Irata – Scoperta una campagna italiana che sfrutta il tema “Banking” e veicola l’APK malevolo tramite SMS.
5. Remcos – Individuata una campagna generica a tema “Ordine”, diffusa tramite email con allegato RAR.
6. VIPKeylogger – Individuata una campagna italiana a tema “Ordine”, diffusa tramite email con allegato DOC.
7. BingoMod – Scoperta una campagna italiana che sfrutta il tema “Banking” e veicola l’APK malevolo tramite SMS.
8. Snake Keylogger – Rilevata infine una campagna italiana “Ordine”, diffuse tramite email con allegato Z.

Phishing della settimana

Sono 17 i brand della settimana coinvolti nelle campagne di phishing. Per quantità spiccano le campagne a tema Aruba, Webmail generica, Zimbra e Microsoft.

Formati di file principalmente utilizzati per veicolare i malware

Canali di diffusione

Campagne mirate e generiche